7.9 提供安全輸入

7.9.1　基本要求

應為系統的規劃者、設計者、實施者或需求方提供他們所需的安全信息，信息應包括安全體系結構、設計或實施選擇以及安全指南；開發、分析并提供安全輸入并與基于7.10“指定安全要求”中定義的安全需求中的適當組織機構成員協調一致；要求所有具有安全意義的系統問題都應受到檢查并按照安全目標的要求予以解決；所有項目組成員都要理解安全問題，解決方法應反映出所提供的安全輸入。

本要求項適用于標定開發（設計者和實現者）和運行（用戶和管理員）的安全輸入。

7.9.2　理解安全輸入要求

7.9.2.1　

安全輸入包括任何種類的、應被其它項目所考慮的、與安全相關的指南、設計、文檔或思想；輸入可以為多種形式包括文檔、備忘錄、電子郵件、培訓和咨詢。

7.9.2.2　安全輸入要求可基于7.10“指定安全要求”中確定的需求。

7.9.2.3　設計者、開發者和需求方應一起確保相應部門對安全輸入有一個共同的理解。

7.9.3　確定安全約束和考慮因素

確定做出有科學依據的工程決策所需的所有安全約束和考慮因素。安全工程組進行分析以確定在需求、設計、實現、配置和文檔方面的任何安全限制和考慮；約束可在系統生存周期內的所有時間進行標識，可在許多不同的抽象層上進行標識。

7.9.4　標識安全選項

標識出與安全相關的工程問題的解決辦法選項；解決辦法可以多種形式提供。

7.9.5　分析工程選項的安全性

7.9.5.1

分析和區分工程選項的優先級；確定安全約束與考慮因素（見7.9.3確定安全約束和考慮因素），根據標識的安全約束和考慮因素，設計組可以評估每個工程選項并提出對工程組的建議；安全工程組應考慮其它工程組的工程指南。

7.9.5.2　

這些工程選項不受所標識的安全選項的限制（見7.9.4標識安全選項），還應包括來自其它項目的選項。

7.9.5.3　

利用安全約束和考慮因素來分析和區分工程選項的優先級。

7.9.6　提供安全工程指南

制定出與安全相關的指南，并將它提供給工程組。

7.9.7　提供運行安全指南

7.9.7.1

制定出與安全相關的指南并提供給系統用戶和管理員；運行安全指南的制定應在生存周期內提早開始。

7.9.7.2

運行安全指南包含用戶和管理員在以安全模式進行安裝、配置、運行和終止系統時應做的內容。